Was ist der debian-sys-maint MySQL-Benutzer (und mehr)?

Ich wurde mehrmals vom Benutzer 'debian-sys-maint' gebissen, der standardmäßig auf den mysql-server-Paketen installiert ist, die aus den Ubuntu-Repositories installiert wurden.

Im Allgemeinen ziehe ich eine neue Kopie unserer Produktionsdatenbank (die nicht unter Debian / Ubuntu läuft) zur Fehlerbehebung oder Neuentwicklung und vergesse, die mysql.user-Tabelle auszuschließen, wodurch der Benutzer debian-sys-maint verloren geht.

Wenn wir aus irgendeinem Grund neue mysql-Benutzer hinzufügen, muss ich diese in meine Entwicklungsumgebung "einbinden", anstatt nur die Tabelle zu überlagern.

Ohne den Benutzer scheint mein System immer noch funktionsfähig zu sein, aber es gibt Fehler wie:

sudo /etc/init.d/mysql restart
Stopping MySQL database server: mysqld...failed.
error: 'Access denied for user 'debian-sys-maint'@'localhost' (using password: YES)'

• Wofür wird debian-sys-maint verwendet?
  • Gibt es eine bessere Möglichkeit für die Paketbetreuer, das zu tun, was sie versuchen?
• Was ist der einfachste Weg, um es wiederherzustellen, nachdem ich es verloren habe?
• Was sind die richtigen / minimalen Berechtigungen für diesen Benutzer?
  • Scheint eine schlechte Idee zu sein, "alle Privilegien für *. * ... zu gewähren"

Bearbeiten

Zusätzliche Frage - Ist das Passwort in /etc/mysql/debian.cnf bereits gehasht oder ist dies das Klartext-Passwort? Es ist wichtig, wann Sie den Benutzer neu erstellen, und ich scheine es beim ersten Versuch nie richtig zu machen.

Vielen Dank

Wofür wird debian-sys-maint verwendet?

Eine wichtige Aufgabe besteht darin, den Server anzuweisen, die Protokolle zu rollen. Zumindest die Berechtigung zum erneuten Laden und Herunterfahren ist erforderlich.

Siehe die Datei /etc/logrotate.d/mysql-server

Es wird vom /etc/init.d/mysqlSkript verwendet, um den Status des Servers abzurufen. Es wird verwendet, um den Server ordnungsgemäß herunterzufahren / neu zu laden.

Hier ist das Zitat aus der README.Debian

* MYSQL WON'T START OR STOP?:
=============================
You may never ever delete the special mysql user "debian-sys-maint". This user
together with the credentials in /etc/mysql/debian.cnf are used by the init
scripts to stop the server as they would require knowledge of the mysql root
users password else.

Was ist der einfachste Weg, um es wiederherzustellen, nachdem ich es verloren habe?

Der beste Plan ist, es einfach nicht zu verlieren. Wenn Sie das Passwort wirklich verlieren, setzen Sie es mit einem anderen Konto zurück. Wenn Sie alle Administratorrechte auf dem MySQL-Server verloren haben, befolgen Sie die Anleitungen zum Zurücksetzen des Root-Passworts und reparieren Sie das debian-sys-maint.

Mit einem solchen Befehl können Sie eine SQL-Datei erstellen, die Sie später zum erneuten Erstellen des Kontos verwenden können.

mysqldump --complete-insert --extended-insert=0 -u root -p mysql | grep 'debian-sys-maint' > debian_user.sql

Ist das Passwort in /etc/mysql/debian.cnf bereits gehasht?

Das Kennwort wird bei der Installation nicht gehasht / verschlüsselt, aber neue Versionen von mysql bieten jetzt die Möglichkeit, die Anmeldeinformationen zu verschlüsseln (siehe: https://serverfault.com/a/750363 ).

Der Benutzer debian-sys-maint ist standardmäßig ein Root-Äquivalent . Es wird von bestimmten Wartungsskripten auf Debian-Systemen verwendet und ermöglicht als Nebeneffekt Benutzern mit Root-Zugriff auf die Box, das Klartext-Passwort in /etc/mysql/debian.cnf (gut oder schlecht?) Anzuzeigen.

Sie können den Benutzer neu erstellen, indem Sie:

GRANT ALL PRIVILEGES on *.* TO `debian-sys-maint`@`localhost` IDENTIFIED BY 'your password' WITH GRANT OPTION;

Stellen Sie einfach sicher, dass das Passwort mit dem in /etc/mysql/debian.cnf übereinstimmt

Du könntest auch:

sudo dpkg-reconfigure mysql-server-5.0

Damit haben Sie die Möglichkeit, den Benutzer debian-sys-maint neu zu erstellen. Bestehende Benutzer und Datenbanken sind sicher.

Ich wollte nur einen Kommentar abgeben, aber ich denke, dass die korrekte Syntax einen eigenen Eintrag verdient. Dadurch wird der Benutzer debian-sys-maint erstellt :

mysql> GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'plaintextpassword' WITH GRANT OPTION; FLUSH PRIVILEGES;

Wenn Sie immer noch die Datei /etc/mysql/debian.cnf haben, verwenden Sie dort einfach das Kennwort.

Fühlen Sie sich frei, eine paranoidere und sicherere Lösung zu finden.

Wenn Sie den debian-sys-maintBenutzer nur zu logrotate.dZwecken hinzufügen müssen , sollten Sie dies nicht gewähren ALL PRIVILEGESoder GRANT OPTION- dies ist eine unnötige riesige Sicherheitslücke. Stattdessen können Sie einfach den Benutzer mit der folgenden RELOADBerechtigung hinzufügen (vorausgesetzt, Sie greifen auf Ihre rootDatenbank zu und ersetzen xxxxxx durch Ihr Kennwort).

# add the user with the reload right
GRANT RELOAD on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'xxxxxx'; 

# reload the rights
FLUSH PRIVILEGES;

# double check
select * from mysql.user;

Aktualisierung 2019

Diese Antwort ist möglicherweise nicht mehr aktuell - bitte beachten Sie die stark meinungsgebundenen Kommentare unten.

Anstatt von

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY PASSWORD('your password') WITH GRANT OPTION; FLUSH PRIVILEGES;

Ich denke

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'your password' WITH GRANT OPTION; FLUSH PRIVILEGES;

weil das Passwort nicht gehasht wird ...?

Für debian-sys-maint sind Berechtigungen erforderlich

Andere Antworten haben alles ausreichend angesprochen, mit Ausnahme der Mindestberechtigungen, die für den Benutzer debian-sys-maint erforderlich sind. Viele der Antworten hier sind in dieser Hinsicht einfach falsch und sogar gefährlich. Reduzieren Sie die debian-sys-maint-Berechtigungen (einschließlich der Grant-Option) nicht, ohne die folgenden Informationen gelesen und verstanden zu haben:

Der Debian-Betreuer hat dem Benutzer nicht alle Rechte willkürlich eingeräumt. Hier erfahren Sie, was wo und warum erforderlich ist. Einige dieser Berechtigungen sind Obermengen von anderen, aber ich werde sie unabhängig voneinander auflisten, falls Sie Dinge anpassen und die Anforderungen für sie entfernen möchten:

• Herunterfahren und Neuladen , was nicht überraschend genug ist, um eine Datenbank herunterzufahren oder zu bearbeiten, durchgeführt von /etc/init.d/mysql
• Wählen Sie auf mysql.user aus. Dies ist für die Überprüfung der Integrität erforderlich, die beim Starten der Datenbank durchgeführt wird, um sicherzustellen, dass ein Root-Benutzer vorhanden ist. Erledige jeden Start mit / etc / mysql / debian-start (aufgerufen von /etc/init.d/mysql) mit dem aktuellen Code in der Funktion check_root_accounts in der Datei /usr/share/mysql/debian-start.inc.sh
• select on information_schema.tables , global select , erforderlich für die Überprüfung auf abgestürzte Tabellen. Erledige jeden Start mit / etc / mysql / debian-start (aufgerufen von /etc/init.d/mysql) mit dem aktuellen Code in der Funktion check_for_crashed_tables in der Datei /usr/share/mysql/debian-start.inc.sh
• global alle Berechtigungen , die für das Upgrade von Tabellen erforderlich sind, wenn eine neue Version von MySQL durch ein Update oder ein Debian-Upgrade installiert wird. Erledige jeden Start von / etc / mysql / debian-start (aufgerufen von /etc/init.d/mysql) mit dem aktuellen Code in der Funktion upgrade_system_tables_if_necessary in der Datei /usr/share/mysql/debian-start.inc.sh - Ruft tatsächlich die MySQL-Binärdatei mysql_upgrade auf - lassen Sie sich nicht vom Funktionsnamen täuschen (upgrade_system_tables_if_necessary), dies kann möglicherweise alle Tabellen berühren - siehe unten

Das letzte ist natürlich die Hauptanforderung für Privilegien. In der Manpage für mysql_upgrade heißt es:

mysql_upgrade überprüft alle Tabellen in allen Datenbanken auf Inkompatibilitäten mit der aktuellen Version von MySQL Server. mysql_upgrade aktualisiert auch die Systemtabellen, damit Sie neue Berechtigungen oder Funktionen nutzen können, die möglicherweise hinzugefügt wurden.

Wenn mysql_upgrade feststellt, dass eine Tabelle möglicherweise inkompatibel ist, führt es eine Tabellenprüfung durch und versucht, falls Probleme auftreten, eine Tabellenreparatur durchzuführen.

WARNUNG Wenn Sie die Berechtigungen von debian-sys-maint einschränken möchten, stellen Sie sicher, dass Sie bereit sind, zukünftige Debian-Sicherheitsupdates und / oder -Upgrades, die MySQL betreffen, manuell durchzuführen. Wenn Sie ein Update für die MySQL-Pakete mit einem reduzierten debian-sys-maint-Privileg durchführen und mysql_upgrade dadurch nicht abgeschlossen werden kann, bleibt Ihre Datenbank möglicherweise in einem undefinierten (Lesezustand). Das Reduzieren von Berechtigungen hat möglicherweise keine offensichtlichen alltäglichen Probleme, bis ein Update veröffentlicht wird. Gehen Sie also nicht davon aus, dass Sie bereits Berechtigungen ohne schädliche Auswirkungen reduziert haben, um davon auszugehen, dass sie sicher sind.

Als Randnotiz dazu werfen Sie einen Blick auf diesen mysqlperformance-Blog-Beitrag aus Gründen, warum Sie möglicherweise das debian-spezifische Zeug deaktivieren möchten.

Bei Verwendung von MySQL 5.6+ würde ich empfehlen, mit dem mysql_config_editorBefehl einen Eintrag für den Benutzer 'debian-sys-maint'@'localhost'mit dem entsprechenden Kennwort zu erstellen , dh, das Kennwort muss nicht im Klartext auf dem Server gespeichert werden.

mysql_config_editor set --login-path=debian-sys-maint --host=localhost --user=debian-sys-maint --password

Danach kann die debian-spezifische Konfigurationsdatei /etc/mysql/debian.cnfgeändert werden, so dass der Benutzername und das Passwort nicht in der Datei gespeichert werden.

Ändern Sie schließlich die logrotate-Datei für MySQL so, dass sie die in der ~/.mylogin.cnfDatei gespeicherten Anmeldedaten anstelle der debian-spezifischen Datei verwendet, indem Sie sie ersetzen

/usr/bin/mysqladmin --defaults-file=/etc/mysql/debian.cnf

mit

/usr/bin/mysqladmin --login-path=debian-sys-maint

Hoffe das hilft :)

Dave